Un investigador descubre un "modo dios" en la nube de Microsoft
Un único token otorga a cualquier hacker poder ilimitado.
Un estudio publicado recientemente demostró que en la infraestructura de Microsoft se descubrió la vulnerabilidad CVE-2025-55241, que concedía a atacantes acceso ilimitado (el llamado 'modo Dios') a todos los inquilinos corporativos de la compañía.
La falla afectaba el mecanismo de validación de tokens Actor en Microsoft Entra ID (anteriormente Azure AD) y permitía convertir un token de servicio de bajo nivel en una llave universal para la administración global. El problema lo identificó el investigador Dirk-Jan Mollema, quien señaló que cualquier organización —desde una gran corporación hasta un pequeño equipo emergente— corría el riesgo de quedar totalmente comprometida.
Los tokens Actor se usan en interacciones de servicio dentro de la nube de Microsoft. Debido a la ausencia de comprobaciones correctas de límites, los tokens emitidos para una cuenta podían ser aceptados como válidos en otro entorno. Para explotarla bastaba con obtener cualquier cuenta de prueba o de laboratorio.
Tras eso, el atacante obtenía la posibilidad de ver perfiles de usuarios, listas de grupos, permisos de aplicaciones e incluso claves de recuperación de BitLocker. Además, ese mismo token permitía crear nuevos administradores globales o apoderarse de los ya existentes, poniendo por completo la infraestructura del cliente elegido bajo su control. El ataque no requería técnicas complejas: ni la inyección de exploits desconocidos, ni encadenamientos de phishing en varias etapas.
La criticidad del problema queda confirmada por la máxima calificación del CVSS 3.1 — 10 de 10. El fallo demuestra la vulnerabilidad del propio modelo de gestión centralizada de acceso, donde un único punto de fallo puede poner en riesgo a todos los usuarios. Incidentes similares han ocurrido anteriormente, cuando en plataformas de confianza se detectaron fallos —por ejemplo, la filtración masiva en Okta o el backdoor oculto descubierto en soluciones de Cisco. Todos ellos muestran que la dependencia de un único proveedor y la confianza absoluta en su infraestructura conllevan un riesgo sistémico.
La alternativa a los esquemas centralizados son las arquitecturas sin autoridad centralizada, donde la comprobación de identidad y la concesión de permisos se basan en un consenso distribuido. En esos sistemas las claves nunca se concentran completamente en un solo punto: se dividen en fragmentos criptográficos que permanecen protegidos incluso si se comprometen nodos individuales.
Esto elimina la posibilidad de que una única falla o un error en el código otorgue al atacante privilegios globales. Para las empresas, la transición a soluciones de este tipo puede ser un paso hacia un modelo más resistente, en el que ya no exista el 'modo Dios' accesible mediante un único token vulnerable.